Twitch bestätigt Leak: Tonnenweise sensible Daten im Netz

Unter anderem sind der Quellcode, Einnahmen von großen Streamern und Informationen zu einem unveröffentlichten Steam-Konkurrenten von einem anonymen Hacker ins Netz gestellt worden.

von Marylin Marx,
07.10.2021 11:15 Uhr

Update vom 7. Oktober 2021, 11:15

Im Gespräch mit PC Gamer haben sich einige IT-Sicherheitsexperten zum Leak geäußert und zeigen sich schockiert darüber, dass ein Angriff in einem solchen Maßstab überhaupt möglich war.

So schreibt der CEO der Sicherheitsfirma ThreatModeler:

Wenn man von einer Datenpanne liest, die den gesamten Quellcode umfasst, einschließlich unveröffentlichter Software, SDKs, Finanzberichte und interner Red-Teaming-Tools, läuft es jedem hartgesottenen Sicherheitsexperten kalt den Rücken herunter. Die erste Frage, die sich wohl jeder stellt, lautet: "Wie um alles in der Welt konnte jemand 125 GB der sensibelsten Daten, die man sich vorstellen kann, extrahieren, ohne einen einzigen Alarm auszulösen?" Es werden intern einige sehr schwierige Fragen gestellt werden.

Via PC Gamer

Ein weiterer Experte rät dazu, sich vor eventuellen Phishing-Angriffen in Acht zu nehmen: Menschen könnten die erbeuteten Daten nutzen, um sich euch gegenüber als Twitch-Mitarbeiter auszugeben, um euch so dazu zu bringen, ihnen weitere Informationen auszuhändigen.

Wie ihr eure Daten, Konten und euren PC schützen könnt, lest ihr in unserem Guide:

Sicherheitstipps für Spieler - Accounts und System schützen   51     4

Mehr zum Thema

Sicherheitstipps für Spieler - Accounts und System schützen

Die Streaming-Plattform reagierte nun ebenfalls mit einem ersten Schritt, um die Account-Sicherheit zu erhöhen: Am morgen des 7. Oktobers wurden alle Stream Keys zurückgesetzt. Solltet ihr selbst auf Twitch streamen, müsst ihr eventuell eure Einstellungen in der genutzten Streaming Software aktualisieren.

Update vom 7. Oktober 2021, 09:46

Twitch äußerte sich erneut mit einem kurzen Statement zu dem Vorfall:

Wir haben erfahren, dass aufgrund eines Fehlers bei einer Konfigurationsänderung des Twitch-Servers einige Daten ins Internet gelangt sind, auf die dann ein böswilliger Dritter zugegriffen hat. Unsere Teams arbeiten mit Nachdruck an der Untersuchung des Vorfalls.

Da die Untersuchung noch nicht abgeschlossen ist, sind wir noch dabei, die Auswirkungen im Detail zu verstehen. Wir verstehen, dass diese Situation Bedenken hervorruft, und wir möchten hier einige dieser Bedenken ansprechen, während unsere Untersuchung fortgesetzt wird:

Zum jetzigen Zeitpunkt haben wir keine Hinweise darauf, dass Anmeldedaten preisgegeben wurden. Die Ermittlungen werden fortgesetzt. Außerdem werden vollständige Kreditkartennummern nicht von Twitch gespeichert, so dass keine vollständigen Kreditkartennummern offengelegt wurden.

Twitch via Blogeintrag

Obwohl Twitch erstmal Entwarnung bezüglich entwendeter Userdaten gibt, empfehlen wir euch trotzdem weiterhin, euer Passwort auf Twitch zu ändern. Ebenso vorsichtig solltet ihr bei hinterlegten Kreditkartendaten sein. Zwar schreibt Twitch, dass keine vollständigen Kreditkartennummern offengelegt wurden, diese Aussage schließt aber zumindest eine Teiloffenlegung nicht aus. Wir empfehlen euch daher, eure Kreditkartentransaktionen im Auge zu behalten und bei Auffälligkeiten mit eurer Bank in Verbindung zu treten oder gegebenenfalls die Karte zu sperren.

Übrigens: Ein Konfigurationsfehler war auch vor wenigen Tagen der Auslöser für eine weltweite Störung der Social Media Plattformen Facebook und Instagram, sowie dem Messenger-Dienst WhatsApp:

Facebook, WhatsApp und Instagram nach weltweiter Störung wieder online   146     6

Nach Konfigurationsfehler

Facebook, WhatsApp und Instagram nach weltweiter Störung wieder online

Update vom 6. Oktober 2021, 18:04

Twitch hat mittlerweile den Leak bestätigt, was jeden Zweifel an der Echtheit der geleakten Daten beseitigt. Auf Twitter schrieb die Streaming-Plattform:

Wir können bestätigen, dass ein Eindringen stattgefunden hat. Unsere Teams arbeiten mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen. Wir werden die Community auf dem Laufenden halten, sobald weitere Informationen verfügbar sind. Wir danken euch für euer Verständnis.

Twitch via Twitter

Mittlerweile trendet auch das Hashtag #twitchleak auf Twitter.

So könnt ihr euch schützen: Wenn ihr einen Twitch-Account besitzt, solltet ihr nun unbedingt euer Passwort ändern und gegebenenfalls die Zwei-Faktor-Authentifizierung einrichten. Bisher ist noch nicht ganz klar, welche Daten alle veröffentlicht worden sind. Daher empfehlen wir euch ebenfalls, bereits bestehende Zwei-Faktor-Authentifizierungen neu einzurichten und eure Passwörter in allen Accounts zu ändern, die auf dieselbe Mailadresse wie euer Twitch-Account laufen.

Ursprüngliche Meldung vom 6. Oktober 2021, 11:23

Ein anonymer Hacker soll die gesamte Twitch-Seite geleakt haben. Er veröffentlichte am Mittwoch, dem 6. Oktober 2021 ein 125 GB großes Torrent im Internet, das unter anderem den Quellcode der Seite, sowie Informationen zu Auszahlungen an Streamer und Infos zu internen Sicherheitstools enthält.

Laut einer anonymen Insider-Quelle von videogameschronicle sollen die geleakten Daten echt sein und von Montag stammen. Twitch sei außerdem schon über den Leak informiert. Nach eigenen Angaben veröffentlichte der Hacker die Daten um mehr Störung und Wettbewerb im Online-Video-Streaming-Bereich zu fördern.

Weiterhin spricht er davon, dass dies nur Teil eins sei. Es könnte also sein, dass noch weitere Informationen und Daten veröffentlicht werden.

Welche Daten wurden veröffentlicht?

Einige User haben bereits angefangen, die Daten zu untersuchen. Unter anderem fanden sie eine Liste mit Auszahlungsinformationen an große Streamer wie Lirik. Angeblich sollen auch verschlüsselte Passwörter im Leak stecken:

Empfohlener redaktioneller Inhalt

An dieser Stelle findest du einen externen Inhalt von Twitter, der den Artikel ergänzt.
Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir Inhalte von Twitter angezeigt werden.

Personenbezogene Daten können an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Link zum Twitter-Inhalt

Darüber hinaus fanden sich in den geleakten Daten die Twitch-Clients der Mobile-, Desktop- und Konsolenversion , propietäre SDKs, interne AWS-Dienste und Tools zur Verbesserung der Sicherheit (Red-Teaming-Tools).

Ebenfalls brisant sind die Informationen zu Project Vapor, die in den geleakten Daten zu finden sind. Dabei handelt es sich allem Anschein nach um einen Steam-Konkurrenten, der viele von Twitchs hauseigenen Features und spezielle Unterstützung für einige Spiele wie Fortnite oder PUBG beinhalten soll.

Darüber hinaus wurde Unity-Code, sowie einige Assets für ein Spiel namens Vapeworld gefunden. Twitter-User gehen davon aus, dass es sich dabei um eine Art VR-Chat handelt.

Was ihr jetzt tun solltet

Solltet ihr ein Twitch-Konto besitzen, empfehlen wir euch dringend, euer Passwort zu ändern und, falls noch nicht geschehen, eure Zwei-Faktor-Authentifizierung einzuschalten, um euch und euren Account vor möglichen Hacks zu schützen. Solltet ihr selbst streamen, empfehlen wir euch außerdem einen Reset eures Stream-Keys.

Außerdem solltet ihr zur Sicherheit auch überall dort euer Passwort ändern, wo ihr die gleiche Email-Adresse oder gar das gleiche Passwort wie bei Twitch nutzt. Das soll verhindern, dass sich andere mit den erbeuteten Daten Zugriff zu euren anderen Account verschaffen.

Wie sicher ist der Epic Games Store? Der große Experten-Check   22     33

Mehr zum Thema

Wie sicher ist der Epic Games Store? Der große Experten-Check

Mehr zum Thema Datenschutz lest ihr in unserem großen Experten-Check zum Epic Games Store. Denn auch hier gibt es zahlreiche Dinge zu beachten, wenn ihr eure persönlichen Daten schützen möchtet.

zu den Kommentaren (153)

Kommentare(153)

Nur angemeldete Benutzer können kommentieren und bewerten.